第五章產(chǎn)品介紹和部署

第五章

云格產(chǎn)品介紹和部署HCSA-V培訓(xùn)2016/7云格產(chǎn)品介紹“山石云·格”架構(gòu)簡(jiǎn)介HS

vSSM提供防火墻、IPS,APPID等安全功能HSvSCM對(duì)vSSM的統(tǒng)一管理和配置UserVM客戶(hù)的應(yīng)用虛機(jī)HSvSOM與第三方云管平臺(tái)通訊，管理服務(wù)生命周期第三方云管平臺(tái)第三方云管平臺(tái)虛擬安全管理模塊(vSOM)虛擬安全控制模塊(vSCM)虛擬安全業(yè)務(wù)模塊(vSSM)云格三劍客：vSSM：一體化2-7層防護(hù)vSCM：主控及可視化管理vSOM：支持vCenter、OpenStackSSMSSMIOMIOMSCM(M)SCM(B)SX系列全分布式硬件防火墻SX系列正面SX系列反面部署模式旁路部署：關(guān)注虛機(jī)層面的應(yīng)用／流量／威脅的可視性，不做控制透明串接：在可視的基礎(chǔ)上做控制和威脅隔離一次部署，兩種模式可任意切換；用戶(hù)可以先旁路，然后根據(jù)需要選擇是否透明串接HypervisorHypervisorHypervisorHypervisorHypervisorHypervisor旁路部署對(duì)用戶(hù)業(yè)務(wù)完全無(wú)影響旁路部署對(duì)用戶(hù)業(yè)務(wù)完全無(wú)影響HypervisorHypervisorHypervisorHypervisorHypervisorHypervisor透明串接不改變用戶(hù)網(wǎng)絡(luò)結(jié)構(gòu)透明串接不改變用戶(hù)網(wǎng)絡(luò)結(jié)構(gòu)“山石云?格”阻斷威脅的橫向擴(kuò)展“山石云?格”可以保護(hù)占數(shù)據(jù)中心東西向流量，阻止攻擊在內(nèi)部橫向蔓延；防止感染主機(jī)從內(nèi)部向外發(fā)起攻擊?

?

Internet南北向流量?東西向流量“山石云?格”支持的安全功能應(yīng)用識(shí)別全新一代基于應(yīng)用特征、行為和關(guān)聯(lián)信息的應(yīng)用識(shí)別支持應(yīng)用類(lèi)別、風(fēng)險(xiǎn)等級(jí)等多維度的應(yīng)用定義多達(dá)幾千種的應(yīng)用特征庫(kù)應(yīng)用特征庫(kù)支持網(wǎng)絡(luò)實(shí)時(shí)更新可視化支持虛擬機(jī)資產(chǎn)發(fā)現(xiàn)、支持對(duì)流量、應(yīng)用、威脅的統(tǒng)計(jì)支持對(duì)接入服務(wù)的虛擬機(jī)進(jìn)行全方位的網(wǎng)絡(luò)監(jiān)控支持會(huì)話日志、威脅日志、系統(tǒng)日志等以邏輯拓?fù)鋱D的方式展示可視化效果防火墻基于深度應(yīng)用識(shí)別的訪問(wèn)控制支持ALG支持會(huì)話限制攻擊防護(hù)多種畸形報(bào)文攻擊防護(hù)SYN

Flood、DNS

Query

Flood等多種DoS/DDoS攻擊防護(hù)支持ARP攻擊防護(hù)入侵防御基于狀態(tài)、精準(zhǔn)的高性能攻擊檢測(cè)和防御實(shí)時(shí)攻擊源阻斷、IP屏蔽、攻擊事件記錄支持針對(duì)HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余種協(xié)議和應(yīng)用的攻擊檢測(cè)和防御支持緩沖區(qū)溢出、SQL注入和跨站腳本攻擊的檢測(cè)和防護(hù)支持自定義入侵防御特征提供預(yù)定義防御配置模板特征庫(kù)支持網(wǎng)絡(luò)實(shí)時(shí)更新支持專(zhuān)業(yè)的Web

Server防護(hù)功能，含CC攻擊防護(hù)和外鏈防護(hù)等部署模式支持透明串接和旁路模式部署、無(wú)需改變現(xiàn)有的虛擬機(jī)配置和網(wǎng)絡(luò)結(jié)構(gòu)通過(guò)vSSM提供安全服務(wù)、服務(wù)容量可隨用戶(hù)需求增長(zhǎng)而擴(kuò)展用戶(hù)的虛擬機(jī)可被隨時(shí)加入或者移出安全服務(wù)統(tǒng)一系統(tǒng)管理高可用性（HA）支持雙主控管理平面（vSOM）、控制平面（vSCM）、安全服務(wù)平面（vSSM）完全分離，保障業(yè)務(wù)穩(wěn)定運(yùn)行單塊vSSM出現(xiàn)故障后對(duì)整機(jī)無(wú)影響、接入該vSSM的虛擬機(jī)業(yè)務(wù)自動(dòng)脫離自動(dòng)化適應(yīng)支持虛擬機(jī)的vMotion支持動(dòng)態(tài)地址簿，實(shí)現(xiàn)基于虛擬機(jī)的提供7000多種特征的攻擊檢測(cè)和防御，訪問(wèn)策略虛擬化平臺(tái)支持Vmware性能參數(shù)基礎(chǔ)配置（2個(gè)vSSM）單個(gè)vSSM擴(kuò)展能力（1個(gè)vSSM）最高配置（200個(gè)vSSM）防火墻吞吐10Gbps5Gbps1Tbps最大并發(fā)連接340萬(wàn)170萬(wàn)3.4億每秒新建（HTTP）6萬(wàn)3萬(wàn)600萬(wàn)IPS吞吐2Gbps1Gbps200Gbps云格產(chǎn)品特性網(wǎng)絡(luò)側(cè)微隔離技術(shù)L2-L7的集成安全防護(hù)，NGFW、IPS、WAF二層部署，拓?fù)淞愦驍_資產(chǎn)、流量、應(yīng)用、威脅可視化全分布式系統(tǒng)，一個(gè)設(shè)備、一個(gè)界面、一套策略、一個(gè)會(huì)話表虛擬化環(huán)境自感知、自動(dòng)化部署、動(dòng)態(tài)遷移防護(hù)業(yè)務(wù)二次包裝二次消費(fèi)靈活的銷(xiāo)售方式網(wǎng)絡(luò)側(cè)微隔離產(chǎn)品形態(tài)：獨(dú)立業(yè)務(wù)虛機(jī)之外的軟件實(shí)體系統(tǒng)級(jí)完全虛機(jī)每個(gè)組件都需要一個(gè)虛機(jī)資源安裝Virtual

SwitchvSSMvSCMvSOMVM3物理服務(wù)器用戶(hù)價(jià)值：可視：資產(chǎn)發(fā)現(xiàn)可視，東西向流量/應(yīng)用/威脅，應(yīng)用鏈業(yè)務(wù)鏈安全：阻斷東西向南北向威脅適配性強(qiáng)：，與業(yè)務(wù)虛機(jī)的操作系統(tǒng)無(wú)關(guān)影響?。翰渴鸢惭b對(duì)業(yè)務(wù)虛機(jī)影響小殉難機(jī)率低：業(yè)務(wù)虛機(jī)被攻陷，云格仍舊正常工作抗抵賴(lài)：在業(yè)務(wù)虛機(jī)上可擦除非法操作，但無(wú)法擦除留在云格上的痕跡！Virtual

SwitchvSSMVM1VM2VM3物理服務(wù)器L2-L7集成式防護(hù)用戶(hù)價(jià)值：一次引流，全面防控減少故障點(diǎn)：引流次數(shù)少拓?fù)浜?jiǎn)單Virtual

SwitchvSSMVM1VM2VM3物理服務(wù)器All

in

ONE應(yīng)用識(shí)別訪問(wèn)控制IPSWAF阻斷木馬、蠕蟲(chóng)病毒等惡意代碼傳播二層部署，拓?fù)淞愦驍_傳統(tǒng)防火墻和競(jìng)品VLAN2/24VM1VM3VM2VLAN1/24三層部署。VLAN內(nèi)、廣播域內(nèi)不能隔離部署過(guò)程要斷網(wǎng)需改虛機(jī)默認(rèn)網(wǎng)關(guān)VM1VM3VM2V1LAN1/16VLAN1/16Default

gateway：防護(hù)前防護(hù)后Default

gateway：防護(hù)前Default

gateway：防護(hù)后Default

gateway：二層部署。VLAN內(nèi)、廣播域內(nèi)能隔離。部署過(guò)程引發(fā)不斷網(wǎng)無(wú)需改虛機(jī)默認(rèn)網(wǎng)關(guān)One

World

One

Cloud

Hive一個(gè)設(shè)備、一個(gè)策略、一個(gè)會(huì)話表vSSMVMavSSMvSSMVMcVMbMvSCMvSO

vSCM管理域其他方案VMbVMc管理域配置vma、c不能互訪安裝安裝N次！安裝1次！物理機(jī)VM1a物理機(jī)n物理機(jī)1物理機(jī)n不考慮遷移，先找物理機(jī)1或n、再配置！?保證遷移，在所有物理機(jī)上配置N次！只在vSCM上基于vm進(jìn)行配置，一次！只在vSCM上基于vm進(jìn)行配置，一次！透明的設(shè)備，安全的安全設(shè)計(jì)思路VMaVMcVMb生產(chǎn)域聽(tīng)說(shuō)設(shè)備新來(lái)了安全，在哪里呢？vSSMvSSMvSSMvSCMvSOM

vSCM管理域二層部署vSSM無(wú)IP地址子模塊無(wú)IP地址整個(gè)設(shè)備僅有單一管理IP地址管理訪問(wèn)全加密透明部署不可見(jiàn)所有組件唯一管理地址，生產(chǎn)域不可見(jiàn)訪問(wèn)全加密，更安全“山石云·格”讓云內(nèi)部流量看得見(jiàn)，管得到！App_NetDB_NetWeb_NetExternal_NetUser_NetVM

1VM

2VM

3VM

4VM

5VM

6當(dāng)用戶(hù)虛機(jī)遷移的時(shí)候源服務(wù)器源服務(wù)器目的服務(wù)器目的服務(wù)器vMotion/在線切換策略下發(fā)服務(wù)準(zhǔn)備保護(hù)遷移統(tǒng)一的策略部署保證虛機(jī)安全功能的一致性動(dòng)態(tài)的會(huì)話同步保證應(yīng)用不受干擾安全策略隨虛機(jī)遷移無(wú)需人工介入1安裝vSOM2自動(dòng)發(fā)現(xiàn)主機(jī)3自動(dòng)安裝4自動(dòng)發(fā)現(xiàn)虛機(jī)5制定保護(hù)策略云格環(huán)境自感知、自動(dòng)化部署第三方云管平臺(tái)虛擬安全管理模塊(vSOM)虛擬安全控制模塊(vSCM)虛擬安全業(yè)務(wù)模塊(vSSM)①③②⑤③

④產(chǎn)品特性?xún)?yōu)勢(shì)小結(jié)品類(lèi)：分布式、網(wǎng)絡(luò)側(cè)、微隔離產(chǎn)品多模合一：分布式架構(gòu)，多個(gè)模塊如一人工作多能合一：集成多種功能、一次引流入口唯一：一點(diǎn)登陸、掌控全局全局唯一：虛機(jī)策略唯一、會(huì)話表唯一只要一種API：只要管理API，不需要vMSafe和NSX即可實(shí)現(xiàn)安全功能問(wèn)題一．云·格由哪幾類(lèi)組件組成？分別是什么？二．云·格部署方式有幾種？請(qǐng)列舉三．在vMware環(huán)境下安裝是否需要NSX組件？

四．虛機(jī)遷移策略是否能夠隨動(dòng)？業(yè)務(wù)是否中斷？五．云·格產(chǎn)品屬于什么品類(lèi)？云格產(chǎn)品模塊介紹模塊介紹23vSOM：負(fù)責(zé)云格的管理vSCM：云格的大腦，業(yè)務(wù)核心模塊

vSSM：1.云格業(yè)務(wù)處理模塊2.虛機(jī)的接口卡韓繼1幻燈片23韓繼1韓繼,2016/5/16系統(tǒng)架構(gòu)24韓繼1幻燈片24韓繼1韓繼,2016/5/16云格產(chǎn)品—vSOM安裝安裝過(guò)程介紹VESA支持security和tapping安裝模式。以security模式為例，流程如下：//通過(guò)OVA文件部署//配置vSOM的管理地址//vSOM對(duì)vCenter的認(rèn)證//創(chuàng)建云格引流所虛擬交換機(jī)//上傳STONE

OS至VMware存儲(chǔ)//生成vSCM、vSSM虛擬機(jī)模板vSOM模板部署配置地址認(rèn)證創(chuàng)建網(wǎng)絡(luò)文件上傳到數(shù)據(jù)存儲(chǔ)模板虛擬機(jī)生成板卡虛擬機(jī)寫(xiě)入板卡虛擬機(jī)環(huán)境變量配置vSOM的NAT重新啟動(dòng)adapter26部署vSOM

OVA文件圖形化：僅需在vSOM控制臺(tái)下做一條命令行配置云格產(chǎn)品—云格安裝安裝圖形化，自適配、少出錯(cuò)、四步完成安裝網(wǎng)絡(luò)檢測(cè)功能啟動(dòng)云格系統(tǒng)安裝vSSM安全服務(wù)透視鏡升級(jí)就兩步圖形化小結(jié)可以做到只用一次命令行，只用一個(gè)命令（配置IP、網(wǎng)關(guān)和NDS）只有兩個(gè)圖形化入口，常用只一個(gè)同一IP地址，不同端口號(hào)vSOM安裝一個(gè)界面1%使用概率配置都在vSCM上99%使用概率安全登錄控制全部Https訪問(wèn)分布式架構(gòu)優(yōu)勢(shì)之在線升級(jí)vSSM不中斷客戶(hù)價(jià)值原地升級(jí)不需備機(jī)原地升級(jí)不需再購(gòu)vSSM升級(jí)不丟防護(hù)升級(jí)不中斷業(yè)務(wù)Virtual

SwitchVM1VM2VM3物理服務(wù)器vSCM（S）vSCM（A）2同步3引流4升級(jí)vSSM（old）1新增vSSM（new）5釋放問(wèn)題一．云格產(chǎn)品安裝需要幾步？二．升級(jí)包括幾種方式？請(qǐng)列舉三．ISSU是什么？四．云格升級(jí)業(yè)務(wù)是否中斷？五．圖形化采用什么協(xié)議進(jìn)行登錄管理？云格產(chǎn)品配置目錄123云格實(shí)現(xiàn)原理添加保護(hù)對(duì)象配置安全策略4攻擊防護(hù)5IPS6VMotion7特征庫(kù)升級(jí)云格實(shí)現(xiàn)原理介紹12云格保護(hù)模式云格旁路模式云格保護(hù)部署模式Hillstone

vSSMHillstone

vSSMVM01VM02VM03VM04VM05VM06VM..VM..將虛N擬E在T機(jī)0每1V加M個(gè)入0物2保的理護(hù)保機(jī)之護(hù)上中移除將1個(gè)虛“將命擬山虛用機(jī)令石擬戶(hù)V行云機(jī)M網(wǎng)0實(shí)·0絡(luò)格14和/和現(xiàn)”0V5虛安虛/M0擬全60機(jī)所2機(jī)服加加處準(zhǔn)務(wù)入保的備虛保用護(hù)擬護(hù)戶(hù)！機(jī)中網(wǎng)部絡(luò)署保護(hù)策略虛交換機(jī)端口組主機(jī)虛機(jī)VM10Vlan

10VM20Vlan

20E0/0.10E0/1.20E0/0.10E0/1.20vswitch1vswitch1TrunkTAG

10TrunkTAG

20云格保護(hù)模式實(shí)現(xiàn)原理保護(hù)后保護(hù)前云格旁路部署模式Hillstone

vSSMHillstone

vSSMVM01VM02VM03VM04VM05VM06VM..VM..“山石云用·格戶(hù)”網(wǎng)安絡(luò)全和服虛務(wù)擬虛機(jī)擬準(zhǔn)機(jī)備部署1個(gè)命令在行每實(shí)個(gè)物現(xiàn)理云機(jī)格上旁路部署！云格旁路模式實(shí)現(xiàn)原理旁旁路路后前添加保護(hù)對(duì)象123添加保護(hù)對(duì)象刪除保護(hù)對(duì)象顯示保護(hù)對(duì)象4添加例外對(duì)象5刪除例外對(duì)象添加保護(hù)對(duì)象所有的保護(hù)對(duì)象的添加可以直接在云格WEBUI下進(jìn)行操作。默認(rèn)配置下所有的虛擬機(jī)都是未在云格的保護(hù)下。根據(jù)資源的類(lèi)型，在云格中為虛擬機(jī)、vSphere標(biāo)準(zhǔn)交換機(jī)端口組、

vSphere分布式交換機(jī)的端口組添加保護(hù)。保護(hù)對(duì)象類(lèi)型虛擬機(jī)：指定虛擬機(jī)網(wǎng)絡(luò)：所連接標(biāo)準(zhǔn)交換機(jī)、分布式交換機(jī)的虛擬機(jī)添加保護(hù)對(duì)象添加“虛擬機(jī)”類(lèi)型保護(hù)對(duì)象添加保護(hù)對(duì)象添加“網(wǎng)絡(luò)”類(lèi)型保護(hù)對(duì)象刪除保護(hù)對(duì)象根據(jù)資源的類(lèi)型，在云格中停止為虛擬機(jī)類(lèi)型對(duì)象、網(wǎng)絡(luò)類(lèi)型對(duì)象進(jìn)行保護(hù)。配置安全策略123安全策略基礎(chǔ)配置安全策略配置對(duì)象安全策略基礎(chǔ)配置安全策略配置對(duì)象策略規(guī)則策略規(guī)則分為兩部分：過(guò)濾條件和行為流量的源安全域/源地址、目的安全域/目的地址、服務(wù)和應(yīng)用類(lèi)型、角色用戶(hù)、時(shí)間表構(gòu)成策略規(guī)則的過(guò)濾條件。行為，包括允許（Permit）、拒絕（Deny）兩個(gè)行為。策略匹配順序：從列表由上至下（不是按照ID號(hào)大小匹配）根據(jù)流量的過(guò)濾條件進(jìn)行匹配，系統(tǒng)會(huì)對(duì)流量按照找到的第一條與過(guò)濾條件相匹配的策略規(guī)則進(jìn)行處理。系統(tǒng)缺省的策略是拒絕所有流量。注:理解策略的匹配順序非常重要安全策略基礎(chǔ)配置安全策略配置對(duì)象議程：安全策略配置策略規(guī)則（WebUI）策略點(diǎn)擊『新建』創(chuàng)建訪問(wèn)控制策略過(guò)濾條件動(dòng)作行為配置策略規(guī)則（CLI）進(jìn)入策略配置模式，在全局配置模式下使用以下命令：policy-global：進(jìn)入策略配置模式后，執(zhí)行以下命令創(chuàng)建策略規(guī)則：rule[id

id][top

|

before

id|

after

id]

[role

{UNKNOWN

|role-name}

|user

aaa-server-name

user-name

|

user-group

aaa-server-nameuser-group-name]

from

src-addr

to

dst-addr

service

service-name{permit

|denyid

id

–指定策略規(guī)則的ID。系統(tǒng)可以自動(dòng)分配一個(gè)IDtop

|

before

id

|

after

id

–指定策略規(guī)則的位置默認(rèn)情況下，系統(tǒng)會(huì)將新創(chuàng)建的策略規(guī)則放到所有規(guī)則的末尾from

src-addr

–指定策略規(guī)則的源地址to

dst-addr

–指定策略規(guī)則的目的地址service

service-name

–指定策略規(guī)則的服務(wù)名稱(chēng)permit

|deny

指定策略規(guī)則的行為show

policy

[id

id]

[from

src-zone]

[to

dst-zone]id

id

–顯示指定ID規(guī)則的詳細(xì)信息from

src-zone

–顯示源安全域?yàn)橹付ㄓ虻囊?guī)則的詳細(xì)信息to

dst-zone

–顯示目標(biāo)安全域?yàn)橹付ㄓ虻囊?guī)則的詳細(xì)信息檢查/移動(dòng)策略規(guī)則移動(dòng)策略規(guī)則位置，在策略配置模式下：moveid

{top

|

bottom

|

before

id

|

after

id}策略>安全策略此策略想禁止對(duì)FTP的訪問(wèn)是否可以？安全策略基礎(chǔ)配置安全策略配置對(duì)象議程：安全策略對(duì)象對(duì)象模塊包括以下信息：地址薄服務(wù)薄應(yīng)用薄時(shí)間表用戶(hù)、AAA服務(wù)器及角色監(jiān)控對(duì)象以下介紹前四項(xiàng)配置地址簿（WebUI）對(duì)象

>地址簿

點(diǎn)擊『新建』按鈕創(chuàng)建地址簿服務(wù)薄對(duì)象>服務(wù)簿用戶(hù)可以查看系統(tǒng)預(yù)定義服務(wù)CLI：show

service

predefined自定義服務(wù)?。╓ebUI）對(duì)象

>服務(wù)簿

點(diǎn)擊『新建』按鈕應(yīng)用薄對(duì)象>應(yīng)用簿用戶(hù)可以查看系統(tǒng)預(yù)定義應(yīng)用，預(yù)定義應(yīng)用可以自動(dòng)在線升級(jí)。CLI：show

application

predefined時(shí)間表包含絕對(duì)計(jì)劃和周期計(jì)劃。（注：較正設(shè)備時(shí)鐘）時(shí)間表功能可以使策略規(guī)則在指定的時(shí)間生效，也可以控制

PPPoE接口與因特網(wǎng)的連接時(shí)間、或在QoS流量控制中調(diào)用。時(shí)間表創(chuàng)建時(shí)間表對(duì)象>

時(shí)間表

點(diǎn)擊『新建』創(chuàng)建時(shí)間表應(yīng)用時(shí)間表到策略策略點(diǎn)擊『新建』創(chuàng)建時(shí)間表范圍內(nèi)允許trust到untrust訪問(wèn)的策略調(diào)用時(shí)間表的策略只在時(shí)間范圍內(nèi)生效查看調(diào)用時(shí)間表的策略已調(diào)用時(shí)間表的策略，只在時(shí)間表范圍內(nèi)生效CLI:

show

policy攻擊防護(hù)123攻擊防護(hù)介紹攻擊防護(hù)配置常用攻擊介紹攻擊防護(hù)介紹網(wǎng)絡(luò)中存在多種防不勝防的攻擊，如侵入或破壞網(wǎng)絡(luò)上的服務(wù)器、盜取服務(wù)器的敏感數(shù)據(jù)、破壞服務(wù)器對(duì)外提供的服務(wù)，或者直接破壞網(wǎng)絡(luò)設(shè)備導(dǎo)致網(wǎng)絡(luò)服務(wù)異常甚至中斷。作為網(wǎng)絡(luò)安全設(shè)備的安全網(wǎng)關(guān)，必須具備攻擊防護(hù)功能來(lái)檢測(cè)各種類(lèi)型的網(wǎng)絡(luò)攻擊，從而采取相應(yīng)的措施保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，以保證內(nèi)部網(wǎng)絡(luò)及系統(tǒng)正常運(yùn)行。提供基于域或者端口組的攻擊防護(hù)功能。攻擊防護(hù)配置對(duì)象>攻擊防護(hù)攻擊防護(hù)配置常用攻擊介紹攻擊防護(hù)配置（續(xù)）配置>安全>攻擊防護(hù)IPS配置12入侵防御（IPS）介紹入侵防御（IPS）配置基于深度應(yīng)用識(shí)別支持針對(duì)HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBIOS、TFTP等多種協(xié)議和應(yīng)用的攻擊檢測(cè)和防御基于深度攻擊檢測(cè)，高精準(zhǔn)基于深度應(yīng)用狀態(tài)、精準(zhǔn)的高性能攻擊檢測(cè)和防御實(shí)時(shí)攻擊源阻斷、IP屏蔽、攻擊事件記錄攻擊迅速響應(yīng)防御最新攻擊支持超過(guò)7,000種的攻擊檢測(cè)和防御安全專(zhuān)家，安全專(zhuān)員分析，積極應(yīng)對(duì)新攻擊支持攻擊特征庫(kù)離線在線更新，定期自動(dòng)更新入侵防御（IPS）入侵防御系統(tǒng)（Intrusion

Prevention

System）簡(jiǎn)稱(chēng)IPS，能夠?qū)崟r(shí)監(jiān)控多種網(wǎng)絡(luò)攻擊并根據(jù)配置對(duì)網(wǎng)絡(luò)攻擊進(jìn)行阻斷等操作。StoneOS的IPS功能在協(xié)議分析過(guò)程中提取感興趣的協(xié)議元素交給引擎進(jìn)行準(zhǔn)確和快速的特征匹配檢測(cè)，發(fā)現(xiàn)與特征庫(kù)中特征相匹配的數(shù)據(jù)包后，系統(tǒng)根據(jù)配置處理數(shù)據(jù)包（記錄日志、重置），并產(chǎn)生日志信息報(bào)告給管理員。入侵防御（IPS）基于深度攻擊檢測(cè)，高精準(zhǔn)基于攻擊特征SQL注入緩沖區(qū)溢出原理基于跨站原理分析協(xié)議完整性分析檢查協(xié)議異常檢查服務(wù)器身份隱藏防止權(quán)限暴力破解基于應(yīng)用原理基于攻擊特征基于攻擊原理入侵防御（IPS）入侵防御（IPS）配置配置IPS功能防護(hù)您的網(wǎng)絡(luò)，需要按照以下步驟進(jìn)行操作：1.安裝IPS許可證，然后重啟設(shè)備。2.升級(jí)IPS攻擊特征庫(kù)。3.創(chuàng)建IPS

Profile。4.將IPS

Profile綁定到安全策略。創(chuàng)建IPS策略對(duì)象>入侵防御點(diǎn)擊『新建』創(chuàng)建入侵防御策略創(chuàng)建IPS策略（續(xù)）策略>安全策略>【新建】或【編輯】點(diǎn)擊『高級(jí)配置』綁定IPS策略修改IPS協(xié)議配置StoneOS提供對(duì)每種協(xié)議的單獨(dú)配置，可以根據(jù)需要細(xì)化協(xié)議具體檢測(cè)。查看IPS攻擊日志監(jiān)控>威脅日志VMotion12vMotion功能云格vMotion工作原理vMotion功能在不停機(jī)的情況下將整個(gè)正在運(yùn)行的虛擬機(jī)從一臺(tái)物理服務(wù)器遷移到另一臺(tái)物理服務(wù)器。虛擬機(jī)會(huì)保留其網(wǎng)絡(luò)標(biāo)識(shí)和連接，它實(shí)現(xiàn)了零停機(jī)時(shí)間和保障了業(yè)務(wù)連續(xù)性，從而確保實(shí)現(xiàn)無(wú)縫的遷移過(guò)程。vMotion工作原理vMotion–在兩臺(tái)ESXi主機(jī)上進(jìn)行在線熱遷移云格vMotion過(guò)程Hillstone

vSSMHillstone

vSSMVM01VM04VM05VM..VM02VM03VM..VM01vMotion原理vMotion前vMotion后特征庫(kù)升級(jí)12特征庫(kù)升級(jí)原理特征庫(kù)升級(jí)配置特征庫(kù)升級(jí)原理云格由于目前只支持二層或是旁路模式部署，進(jìn)行東西向流量的防護(hù)，因?yàn)樵聘癖旧聿痪邆淙龑覫P地址，所以云格無(wú)法直接通過(guò)網(wǎng)絡(luò)或是Internet進(jìn)行特征庫(kù)的升級(jí)，這樣就導(dǎo)致APP、IPS無(wú)法進(jìn)行特征庫(kù)的升級(jí)。代理方式實(shí)現(xiàn)特征庫(kù)的升級(jí)STONE

OSProxy

Serverv